全球最火NFT游戏一夜之间遭劫:玩家6.25亿美元打了水漂
在大肆鼓吹Web 3繁荣之前,需要首先解决的是去中心化系统的安全问题。
——
文|Juny 编辑|VickyXiao
最近Web 3领域发生了一件震惊全行业的大事件。 3月29日,目前世界规模最大、最受追捧的区块链游戏Axie Infinity被曝遭到了黑客入侵,造成了17.36万枚以太坊和2550万个的稳定币USDC被盗。此次的黑客攻击事件,直接导致的损失将高达约6.25亿美元,创下了去中心化金融(DeFi)系统有史以来的最大攻击记录。 值得注意的是,这并不是DeFi系统第一次遭受攻击,过去一年来DeFi上的攻击盗窃案频发。就在两个月前,另一个区块链桥Wormhole 才刚被攻击损失了超过 3 亿美元。上个月,Axie Infinity刚打破了40亿美元的NFT销售记录,夺得了世界最大NFT游戏的宝座,业界猜测也正因如此才让它成为了黑客的重点攻击对象。 此次巨额的攻击事件,导致了Axie Infinity相关数字资产价格断崖下跌,其中Ron代币单日下跌了22%、AXS下跌了约9%,同时也再次把去中心化金融系统的安全问题摆上了台面。很多人表示,如果用户的基本资产安全都不能得到保障,什么NFT、链游就都只是一场空谈。
图片来自Reddit,版权属于原作者
对于不太关注Web 3或者区块链游戏的朋友来说,可能看到这里还是会感觉一头雾水。Axie Infinity到底是一款什么样的游戏,为什么一款游戏被攻击能造成如此巨额的损失,黑客又是如何攻击去中心化金融系统的呢? |区块链版“宠物小精灵”, 一款可以帮你赚钱的游戏 相信每一个游戏爱好者都有一个愿望,世界上能不能有一款游戏,在很好玩的同时又能够帮自己挣钱。以前,这种事情可能只会发生在万一挑一的职业电竞选手身上,但Axie Infinity则为普通人开辟了一条全新的道路。 Axie Infinity于2018年诞生,由越南工作室Sky Mavis创立。当时Axie团队想,市面上的游戏都是需要玩家花大量时间甚至金钱去玩,游戏的主要功能是娱乐,那可不可以创造出一款游戏,能把玩家付出的精力和时间转化成现实的经济效益。于是他们基于以太坊,开发了一款融合了《宠物小精灵》、《最终幻想》和《放置奇兵》等经典玩法的游戏Axie Infinity,并开创了一种全新的游戏模式——Play to Earn。
简单来说,Axie Infinity就是一个数字宠物世界,游戏的主角是类似于宠物小精灵的各种Axie,玩家既可以通过收集、训练自己的Axie们来与其他玩家的Axie们战斗,也可以将其作为宠物抚养和交易。在支付起始费用后,玩家可以通过玩游戏赚取基于以太坊的游戏内代币,Axie Infinity则允许他们每十四天兑现他们的代币。 这款游戏在2018年刚推出时并没有得到很多关注,一直到2019年底新冠疫情爆发,Axie Infinity开始在以菲律宾为代表的东南亚地区迅速走红。突然爆红的原因也很简单,当时很多人因为突然的居家隔离而失业,而他们发现这款游戏真的可以帮他们赚钱。 由于东南亚地区的收入水平并不发达,这些东南亚玩家通过日夜玩Axie Infinity,发现月收入居然可以达到400美元,甚至超过了当地的平均工资。家里蹲着也是蹲着,所以,大到年过7旬的老人、小到几岁的儿童就都开始玩Axie。有意思的是,这些玩家基本上都不懂什么是区块链、什么是加密货币,他们只知道在游戏里的这些资产最后能够换成真钱。 但是,要玩Axie也是有门槛的,玩家必须得先花钱在Axie市场上购买至少3只Axie才能开始游戏。2019年初,3只Axie玩家只需要花费几美元就能买到,但到了2020年2月,3只Axie的价格已经涨到了约400美元。
为了解决高昂的入门费用、鼓励更多玩家参与,Axie Infinity团队设计出了一项“奖学金计划”, 通过租号的形式,将账号免费借给玩家,并通过社区培训人们如何通过Axie Infinity赚钱,最后把取得的收益和玩家37分成(玩家占7成)。很快,在“奖学金计划”之下,Axie Infinity的社区迅速壮大,这些社区也成为了Axie Infinty走向全球的重要推动力。
关于Axie Infinity在菲律宾大火的报道,图片来源于网络 2020年6月,Sky Mavis带着这种全新“Play to earn”模式和在东南亚地区的成绩单入驻了育碧的游戏孵化器,并在11月获得了美国加密货币投资公司Delphi Digital的86万美元的首笔融资。而在Delphi Digital的帮助下,Axie Infinity进一步理顺了游戏的经济系统和生态体系。 |复杂而精巧的游戏设计,打造完备的经济生态 Axie Infinity中的资产一共有两大类,一是以Axie小精灵和Lunacia土地为代表的NFT,二是以SLP和AXS为代表的游戏内代币。 其中,游戏中玩家最核心的资产是NFT形式的Axie小精灵们。跟宠物小精灵的设定类似,这些Axies被划分成了不同的属性,目前包含爬行系、植物系、暗夜系、水系、飞行系、光系、机械系、昆虫系和野兽系这九大种类。 根据属性的不同,这些Axie的身体构成与技能卡牌也不同,这些技能不仅能让不同的Axie在对战中发挥出不同攻击力,也给Axie带来了非同质性和稀缺性,直接导致了Axie们市场价格的不同。根据Axie infinity官网数据显示,价格最高的Axie,售价已经高达300个以太坊,约800万人民币。 
Axie的种类,图片来自Delphi Digital 此外,小精灵们生活的土地也被NFT化了。被称为Lunacia 的大陆被划分成了301x301 的网格,每个方块代表一块土地,玩家可以购买、出租和开发。大陆目前分为5个等级,分别是:萨凡纳、森林、北极、神秘和创世纪,由边缘到中心分布,地块供应由多到少价格也越来越高。拥有土地之后,玩家可以用来养育小精灵并进行自主设计和开发,具有极强的开放性特征。 去年11月,一块创世纪土地以550个以太坊(约250万美元)的价格售出,刷新了Axie Infinity的土地销售记录。 在代币方面,整个游戏中主要有两种的代币类型——SLP和AXS。SLP(Smooth Love Potion)属于奖励型代币,玩家在用Axie进行PVE(机器对战)或者PVP(真人对战)时,都可以获得一定的SLP奖励,每日获得的SLP上限是75枚。AXS则是专门用来繁殖和培育Axie的代币,只能通过每月排位的奖励和购买土地后产出,只有排名最高的一部分玩家可以获得AXS代币奖励。 玩家既可以在游戏内用这些代币来收集和培养更多以及更强的Axie,同时也可以选择将手上的这两种代币在市场上售出来换取真钱,它们价格也会根据市场实时变化。过去一年,AXS的涨幅高达1035%。 
AXS的价格****,图片来自Coingecko 总体来看,目前在Axie infinity上赚钱的方式主要有以下几种:一是通过Axie参加战斗,赢得排行榜上的奖项;二是自己培育Axies并在市场上出售;三是收集和投资稀有的Axie和土地;四是通过在市场上转卖SLP和AXS获取收益。 Axie Infinity的创始团队曾表示,他们希望通这样一种有趣的方式向世界介绍区块链技术。他们的最终设想是把Axie Infinity变成一个集社交网络、交易市场、对战空间、宠物繁育等多种功能于一体的开放世界游戏,他们会把逐步内容生产的权利交给玩家,让他们从用户变成真正的所有者,不仅可以控制游戏中的道具,还可以决定游戏的未来。Axie的“卡牌”对战模式 “当玩家参与到游戏经济、创造游戏内容之中,并为其他玩家和开发者创造更多价值时,Axie Infinity才会成为理想意义上去中心化的Web3.0游戏。”Sky Mavis的联合创始人Jeff Zirlin表示。 在这样一套兼具娱乐性和盈利性的模式之上,Axie Infinity也在过去一年迅速破圈,主要玩家从东南亚迅速遍及全球各地,走上了一路开挂的发展之路。2021年4月,Axie Infinity的日活用户才仅有3.8万人,到了2021年底,月活用户已经接近300万。2021年8月,Axie Infinity的单月收入达到了3.34亿美元,远超同期《王者荣耀》2.31亿美元的收入规模。 今年2月底,Axie Infinity的NFT历史销售额突破了40亿美元,也成为了全球首款销售额破40亿的NFT游戏。 |高达6.25亿美元的攻击是怎么发生的? 在充分了解Axie Infinity是什么之后,我们再回到文章开头的这场攻击。 就像前文所说,Axie Infinity是一款基于区块链的游戏,所以,无论时Axie这些NFT还是SLP和AXS这些资产,其实都是存在于链上的。而此次遭受攻击的地方,就是在用以架接Axie游戏资产和以太坊的Ronin跨链桥上。 Ronin 是Sky Mavis一条专为 Axie Infinity 生态设计的一条以太坊侧链,它允许用户在以太坊和 Axie之间来回发送加密货币,旨在解决以太坊网络交易费高和扩大NFT交易容量的作用,并配套推出了Ronin加密钱包。Ronin目前是 Axie Infinity 游戏的最重要基础设施,Axie Infinity游戏内所有的可交易资产包括Axie 小精灵、土地、SLP、AXS 等都在上面流转。
图片截自于《Axie Infinity白皮书》为了达成更高效交易的目的,Ronin采用的是PoA (Proof of Authority) 的共识机制,并用了更少的验证节点(目前是 9 个)来获得更快的转账速度。按照Ronin的设计,如果需要存款或取款,需要验证九个节点中的五个。 根据Sky Mavis昨天发布的公告显示,此次的攻击者通过了Ronin的无Gas RPC 节点发现了一个后门,并通过这个后门设法控制了 Sky Mavis 的四个 Ronin 验证器和一个由 Axie DAO 运行的第三方验证器,从而完成了大量资产的提取。而实际上,这个攻击早在3月23日就发生了,但一直到3月29日有用户表示无法提取5000 枚以太坊时才发现了资产已经被盗空。
目前,Sky Mavis 已经将 Ronin 的验证器门槛从 5 个提高到了 8 个,并进一步分散和增加了验证器总数。此次被盗的资产一部分是玩家的资产,另一部分是Axie Infinity的官方储备资产。对于用户的损失,Sky Mavis今日表示虽然被盗资产很难追回,但Axie将尽力补偿用户,可能的方式包括以折扣价向这些用户出售代币或者从拥有16亿美元资产的Axie社区“金库”中提取资金来偿还。
实际上,最近一两年来,去中心化金融网络上的盗窃案频发。截至目前,Defi上的各种攻击加起来的损失总额已经高达几十亿美元,大部分被盗的原因都是因为智能合约漏洞或者私钥被黑。而因为数字资产一旦被盗取、转赠、交易后就很难追回,往往让遭受损失的用户求告无门。
图片来自Bloomberg,版权属于原作者由于目前大部分区块链游戏玩家们都不是加密领域的专家,只是冲着玩游戏和赚钱来的,他们的安全意识不强、安全验证设置也并不完备。此前就有很多Axie Infinity的玩家的SLP、AXS被别人转走、Axie小精灵未经允许就被赠送的情况发生,而他们的游戏资产被转走后立刻就被放在了市场上进行交易。 “非区块链游戏虽然不能帮人赚钱,但目前在安全性上是远高于去中心化的游戏的,即使游戏号被盗、资产被黑,也可以通过游戏公司的客服、技术支持来帮忙找回。区块链游戏未来想要走向大众,可能首先要解决的就是安全问题和信任问题。”一位游戏发烧友告诉硅星人。
注:封面图来自于Axie Infinity,版权属于原作者。如果不同意使用,请尽快联系我们,我们会立即删除。
*博客内容为网友个人发布,仅代表博主个人观点,如有侵权请联系工作人员删除。
